Par :Mario Shai Aguado González | Protection des données personnelles et intelligence artificielle
Il existe une croyance largement répandue parmi les entreprises : les obligations en matière de protection des données à caractère personnel commencent dès lors que les données du client, de l'employé, du fournisseur ou de toute autre personne concernée se trouvent dans leurs systèmes.
Cette croyance est toutefois erronée, comme le confirme un arrêt de la Cour suprême espagnole.
Cette décision ne relève pas du droit mexicain ; toutefois, son raisonnement est tout à fait pertinent pour toute entreprise opérant au Mexique et soumise aux obligations de la loi fédérale sur la protection des données à caractère personnel détenues par des particuliers (LFPDPPP). En effet, les deux systèmes juridiques partagent la même logique de fond : la conformité réglementaire ne répond pas à la collecte des données à caractère personnel, mais à une obligation qui naît dès leur demande.
Que s'est-il passé ?
En mars 2026, la Cour suprême d'Espagne (TSE) a statué sur un pourvoi en cassation (arrêt n° 1590/2026) dont l'origine semblait, à première vue, être une affaire mineure : un établissement pénitentiaire avait demandé à l'un de ses agents de fournir son certificat médical et le traitement prescrit par son médecin afin de justifier trois jours d'absence au travail.
Le fonctionnaire a refusé, invoquant son droit à la vie privée, et l'établissement pénitentiaire n'a jamais reçu ces informations. Conséquence pour le fonctionnaire ? L'établissement lui a retenu trois jours de salaire.
Face à cette situation, le fonctionnaire a déposé une plainte auprès de l'Agence espagnole de protection des données (AEPD), qui a ouvert une enquête aboutissant à une sanction à l'encontre du Secrétariat général des établissements pénitentiaires sous la forme d'un avertissement, pour violation du principe de minimisation des données. L'Audiencia Nacional a annulé cette sanction, estimant qu'en l'absence de réception effective des données à caractère personnel, il ne peut y avoir de traitement. L'AEPD a formé un pourvoi en cassation et la Cour suprême l'a déboutée.
Quelle est la question juridique centrale ?
La décision rendue par le TSE soulève un aspect technique intéressant :
Peut-il y avoir un traitement de données à caractère personnel même si les données ne sont jamais parvenues au responsable du traitement (parce que la personne concernée a refusé de les communiquer) ?
La Cour nationale a confirmé que non. Son raisonnement était que le Règlement général sur la protection des données (RGPD) définit le traitement des données comme toute opération effectuée sur des données à caractère personnel, en mentionnant en premier lieu la « collecte ». Sans collecte de données, il n'y a pas de traitement, donc pas d'infraction.
Le TSE rejette ce raisonnement, qu’il juge insuffisant. Le TSE part du principe que la définition du traitement figurant à l’article 4, paragraphe 2, du RGPD est délibérément large. Le législateur européen a utilisé l'expression « toute opération », accompagnée d'une liste non exhaustive d'exemples. Cette ampleur n'est pas fortuite ; elle reflète la volonté de doter ce concept d'une portée étendue afin de protéger efficacement les droits fondamentaux des personnes. De plus, outre la prise en compte de l'ampleur de la définition, le TSE a examiné deux articles du RGPD.
D'une part, l'article 5 du RGPD énonce les principes régissant le traitement, tels que la licéité, la finalité, la minimisation, l'exactitude, la limitation de la durée et la sécurité. Ces principes ne s'appliquent pas aux données déjà reçues ; il s'agit d'obligations qui doivent être respectées dès la conception de toute activité visant à collecter et à traiter des données à caractère personnel.
Par ailleurs, l'article 25 du RGPD régit la protection de la vie privée dès la conception et par défaut, et plus précisément les mesures de protection « tant au moment de définir les moyens de traitement qu'au moment du traitement lui-même ». Autrement dit, avant même que la première donnée ne soit collectée.
Le TSE en conclut donc que la demande de données à caractère personnel s'inscrit déjà dans le cadre d'une activité conçue et destinée à la collecte de données à caractère personnel. Cette activité constitue, en soi, un traitement de données à caractère personnel et est donc soumise au respect de tous les principes énoncés par le RGPD, notamment celui de la minimisation des données.
Pourquoi l'établissement pénitentiaire enfreint-il le RGPD ?
Une fois cette doctrine établie, le TSE applique le principe de minimisation des données aux faits concrets.
Le fonctionnaire avait fourni des justificatifs médicaux attestant de son absence. Ces documents répondaient à l'objectif visé : contrôler l'absentéisme au travail. La demande supplémentaire concernant le diagnostic médical et le traitement n'apporte rien de nécessaire à cette fin. Au contraire, le TSE a souligné que même dans les cas d'arrêt de travail pour incapacité temporaire, l'employeur ne reçoit pas le diagnostic médical, les établissements de santé ne communiquent rien au lieu de travail, précisément parce que cette information est inutile pour gérer l'absence de ses employés.
Cette demande était inutile, disproportionnée et portait sur des données à caractère personnel relatives à la santé, une catégorie que le RGPD classe parmi les données particulièrement protégées. La sanction était justifiée, même si les données n'ont pas été communiquées.
Cela s'applique-t-il au Mexique ?
La LFPDPPP 2025 reprend tant la terminologie que la logique structurelle du RGPD. Son article 2, paragraphe XIX, définit le traitement comme « toute opération ou ensemble d’opérations […] liées à la collecte, à l’utilisation, à l’enregistrement, à l’organisation, à la conservation […] », en plaçant la collecte en premier lieu, à la même place que la « collecte » dans le RGPD. Cette concordance montre que les deux systèmes conçoivent le traitement comme un processus qui commence au moment où l'on cherche à accéder à la donnée, et non lorsque celle-ci est déjà en possession du responsable du traitement.
L'article 5 de la LFPDPPP consacre le principe de proportionnalité comme l'un des principes directeurs du traitement, et l'article 12 le réaffirme : le traitement « sera celui qui s'avère nécessaire, adéquat et pertinent au regard des finalités prévues dans la déclaration de confidentialité ». Cette norme est fonctionnellement équivalente au principe de minimisation prévu à l'article 5, paragraphe 1, point c), du RGPD, dont la violation est au cœur de l'arrêt espagnol.
L'article 13 renforce cette interprétation en établissant la responsabilité du responsable du traitement, qui doit prendre les mesures nécessaires pour garantir que la déclaration de confidentialité soit respectée « à tout moment ». Et l'article 16 exige que cette déclaration soit disponible dès le moment où les données sont collectées, ce qui suppose que le responsable du traitement ait déjà défini, avant toute demande, quelles données il va collecter, à quelles fins et de quel type de consentement il a besoin.
Ce que l'arrêt STS 1590/2026 consacre juridiquement dans le contexte européen, la LFPDPPP l'exige déjà expressément dans son texte. La différence réside dans le fait qu'au Mexique, cette logique est rarement formulée avec la clarté dont fait preuve le TSE dans cette décision :le responsable qui demande des données excessives enfreint déjà le principe de proportionnalité, que le titulaire fournisse ou non ces informations.
Quelles conclusions ?
L'arrêt STS 1590/2026 ne crée pas de nouvelle obligation. Il précise à partir de quand prennent effet les obligations déjà prévues par le cadre réglementaire et, comme nous l'avions anticipé, cela intervient plus tôt que ne le pensent la plupart des entreprises.
C'est précisément cette rigueur juridique dans l'élaboration de ce dispositif qui distingue une entreprise proactive d'une entreprise qui ne réagit qu'une fois le problème survenu.
